[linux-l] Einrichten eines crypted-/-Filesystems (war: Brauche Hilfe)

[Frank Reker]

Baerwaldt, Ralf disse:

[...]
> Du bootest dein c-/-FS, dein boot bleibt bei einer der
> rcS.d-Dateien stecken. Dann bootest du wieder dein normales
> FS und schaust nach, warum er stecken blieb. (Meist weil
> ein Programm oder Datei von /bin,/sbin oder /etc fehlt.)

Warum so kompliziert??
Du verschluesselst einfach die ganze Partition:
losetup -e aes -k 128 /dev/loop0 /dev/hda1
anschliessend mountest du /dev/loop0 und kopierst deine
root partition drauf.
Dein initrd muss dann ebenfalls den obigen losetup befehl
ausfuehren, und anstatt /dev/hda1 (oder was auch immer)
mountest du dann /dev/loop0 als /
Deine initrd muss also zusaetzlich das Komando losetup
beinhalten. Achte nur darauf das es statisch gelinkt ist,
du willst schliesslich nicht die ganze libc mit in die
initrd einbauen ;-))
Dein Kernel sollte natuerlich verschluesselung unterstuetzen,
wenn du es als modul kompiliert hast, dann muss die
initrd noch die noetigen module (mit insmod) installieren.


[...]
>> Ist die Ramdisk wirklich notwendig?
>
> Es hat Vorteile:
> 1. Ist sehr schnell
> 2. Manchmal ist man genoetigt Keys zwischen zu speichern.

Wozu denn das???


Du solltest jedoch beachten, dass das verschluesseln von FSen
auch performance kostet. Das merkt man insbesondere beim
aufruf von find, insbesondere, da das loop-device als
Kernelthread mit max. prioritaet laeuft.
Ich hab auf meinem Laptop das /home verzeichnis verschluesselt,
und wenn der Cron-Job sdann updatedb aufruft geht der Rechner
ziemlich in die Knie, obwohl der Cronjob selbst schon mit nem nice
von 20 (niedrigster Prio) laeuft.


-- 
Don't worry be happy ...
Ciao Frank